Проблема атрибуцій кібератак проти об’єктів критичної інфраструктури та шляхи її вирішення в міжнародному праві
Анотація
У статті досліджено проблему атрибуції кібератак у міжнародному праві. Встановлено, що неможливість присвоєння державі поведінки приватних осіб зумовлена високим порогом тесту ефективного контролю. Отже, аналізується пропозиція щодо створення міжнародного механізму за прикладом МАГАТЕ, який би займався питаннями технічної атрибуції для подальшого встановлення правової атрибуції і відповідальності в межах міжнародного права. Лише такі висновки незалежного міжнародного механізму зможуть задовольнити вимоги ефективного контролю та поводження з приватними особами як з агентами держави. Це зумовлено тим, що в більшості звітів щодо технічної атрибуції наявні докази використання державної інфраструктури, а також взаємодії хакерів та хакерських груп з державними органами.
У статті також розглянуті запропоновані моделі цього міжнародного механізму. З одного боку, пропонується такий міжнародний механізм, який би здійснював технічну атрибуцію на підставі взаємодії державних та недержавних акторів, з іншого боку, приватний сектор пропонує створити механізм, який би передбачав виключно консультації та отримання інформації від держав. Тому виключається членство держав, а інформація, яка надана ними, не буде обов'язковою для врахування у випадку сумнівів щодо достовірності даних. Ця пропозиція зумовлена тим, що, на думку приватного сектору, держави спробують втрутитися в процес технічної атрибуції через свої політичні мотиви або намагатимуться досягти рішення щодо відсіювання розслідування кібератаки, до якої вони або їхні союзники причетні.
Автор доходить висновку про доцільність створення міжнародного механізму, який не передбачає повне виключення представників держави. Це пояснюється тим, що не лише технічні, а й політичні індикатори повинні бути враховані. Такий підхід знаходить підтримку серед усіх зацікавлених сторін через те, що технічні дані можуть бути скомпрометовані. Крім того, в розпорядженні державних агентів зазвичай знаходиться важлива інформація щодо конкретної кібе-ратаки та контексту, в якому вона була здійснена. Не менш важливо й те, що міжнародна спільнота навряд чи погодиться на створення міжнародного механізму з представників приватного сектору, висновки якого потенційно можуть стати доказами у встановленні відповідальності держав. Як наслідок, вирішення проблеми зі встановленням атрибуції буде відкладено на невизначений час.
Посилання
2. CrowdStrike Intelligence Report «Putter Panda». URL: https://cdn0.vox-cdn.com/assets/4589853/crowdstrike-intelligence-report-putter-panda.original.pdf
3. Stateless Attribution: Toward International Accountability in Cyberspace / J. Davis et al. Santa Monica, CA: RAND Corporation, 2017. URL: https://www.rand.org/pubs/research_reports/RR2081.html.
4. GReAT, «BlackEnergy APT Attacks in Ukraine Employ Spearphishing with Word Documents». SecureList, Kaspersky Lab : website.2016. URL: https://securelist.com/blog/research/73440/blackenergy-apt-attacks-in-ukraine-employspearphishing-with-word-documents/
5. MandianVs Report «APT1 Exposing One of China's Cyber Espionage Units». URL: https://www.fireeye.com/content/dam/fireeye-www/services/pdfs/mandiant-apt1-report.pdf
6. Military and Paramilitary Activities in and Against Nicaragua (Nicar. v. U. S.), Judgment, 1986 I.C.J. 14 (June 27). URL: https://www.icj-cij.org/files/case-related/70/070-19860627-JUD-01-00-EN.pdf
7. Muzyka V. Public Attribution of Cyber-Attacks: Toward a New Approach in International Law. Правове життя сучасної України : у 3 т. : матеріали Міжнар. наук.-практ. конф. (м. Одеса, 15 трав. 2020 р.) / відп. ред. М.Р. Аракелян. Одеса : Видавничий дім «Гельветика», 2020. Т. 3. С. 46-49.
8. Roscini M. Evidentiary Issues in International Disputes Related to State Responsibility for Cyber Operations. Texas International Law Journal. Volume 50. Symposium Issue 2. P. 234-273.
9. Schmitt M. Tallinn Manual on the International Law applicable to cyber warfare. 2013. 283 p.
10. UN General Assembly, Responsibility of States for internationally wrongful acts : resolution ; adopted by the General Assembly, 8 January 2008, A/ RES/62/61. URL: https://legal.un.org/ ilc/texts/instruments/english/draft_ articles/9_6_2001.pdf
11. Vдljataga A. Tracing opinio juris in National Cyber Security Strategy Documents. NATO CCD COE. URL: https://ccdcoe.org/uploads/2019/01/ Tracing-opinio-juris-in-NCSS-2.docx.pdf
